01
等保2.0三级要求的通用要求
8.1.2.2通信传输
a)应采用校验技术或密码技术保证通信过程中数据的完整性;
b)应采用密码技术保证通信过程中数据的保密性。
8.1.4.1身份鉴别
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
8.1.4.7数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8.1.4.8数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
8.1.9.2安全方案设计
b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;
8.1.9.3产品采购和使用
b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;
8.1.9.7测试验收
b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
8.1.10.9密码管理
b)应使用国家密码管理主管部门认证核准的密码技术和产品。
02
等保2.0与0054标准中对密码技术的要求分析
将等保2.0中对密码技术与产品的要求,细化映射到《gm/t 0054-2018 信息系统密码应用基本要求》标准(简称“0054标准”)中对密码的技术要求,如下表所示:
层级 | 四性 | gm/t0054-2018中具体要求 | 密码技术 |
物理与环境安全 | 机密性 | ——— | 密码加密 |
完整性 | 电子门禁系统进出记录 | 消息鉴别码(mac)或数字签名 | |
视频监控音像记录 | |||
真实性 | 重要物理区域人员身份鉴别 | 对称加密、动态口令、数字签名 | |
不可否认性 | 网络和信息系统中所有需要无法否认行为,包括发送、接收、审批、创建、修改、删除、添加、配置等操作 | 数字签名 | |
网络与通信安全 | 机密性 | 敏感信息数据字段或整个报文 | 密码加密 |
完整性 | 通信过程中数据 | 消息鉴别码(mac)或数字签名 | |
网络边界和系统资源访问控制信息 | |||
真实性 | 通信双方身份认证 | 对称加密、动态口令、数字签名 | |
不可否认性 | 网络和信息系统中所有需要无法否认行为,包括发送、接收、审批、创建、修改、删除、添加、配置等操作 | 数字签名等 | |
设备与计算安全 | 机密性 | 身份鉴别信息 | 密码加密 |
完整性 | 资源访问控制信息 | 消息鉴别码(mac)或数字签名 | |
重要信息资源敏感标记日志记录 | |||
重要程序或文件 | |||
真实性 | 登录用户身份鉴别 | 对称加密、动态口令、数字签名 | |
不可否认性 | 网络和信息系统中所有需要无法否认行为,包括发送、接收、审批、创建、修改、删除、添加、配置等操作 | 数字签名等 | |
应用与数据安全 | 机密性 | 重要数据 | 密码加密 |
完整性 | 访问控制策略/信息/重要信息资源敏感标记 | 消息鉴别码(mac)或数字签名 | |
重要数据 | |||
日志记录 | |||
真实性 | 登录用户身份鉴别 | 对称加密、动态口令、数字签名 | |
不可否认性 | 网络和信息系统中所有需要无法否认行为,包括发送、接收、审批、创建、修改、删除、添加、配置等操作 | 数字签名等 | |
在密码运算和密钥管理的实现上,推荐采用符合gm/t 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品。 |
1
等保2.0与0054标准对数据完整性的密码技术要求分析
2
等保2.0与0054标准对身份鉴别中的密码技术要求分析
3
等保2.0与0054标准对数据保密性的密码技术要求分析
4
等保2.0与0054标准对不可否认性的密码技术要求分析
此外,0054标准中对不可否认性也要做了要求,主要保证的是网络和信息系统中所有需要无法否认行为,包括发送、接收、审批、创建、修改、删除、添加、配置等操作。主要的密码技术实现方式为数字签名等。
5
等保2.0与0054标准对密码产品与服务的要求分析
密码算法
密码技术
密码产品
密码服务
6
等保2.0与0054标准对密码方案及测评验收要求分析